识别是否意味着生物识别系统中的认证？

Question

我知道身份验证和身份验证之间的区别，它们基本上是声称你是谁，并证明了这一点。就系统而言，它们一般是username和password。

但是像脑电波这样的生物识别技术呢？在某种程度上，username + password可以告诉系统你是谁，同时也证明了你是谁(假设这种生物识别技术不可能被偷)。

我并不担心这种生物识别系统的可行性或适当性。我在这里的问题是--我是否可以说，这种身份验证过程也意味着/包括(或任何更好的术语)认证？

Answer 1

这看起来有点像将密码用于这两种目的。

从技术上讲，只要人们使用足够强的密码，所有人的密码都将是唯一的(就像良好的生物识别技术一样)，因此您可以想象一个系统，在这个系统中，仅使用密码也可以完成身份识别。

但是，这将打开一个大漏洞，因为攻击者将不再需要找到与某个身份匹配的身份验证:他所要做的就是猜测任何匹配任何身份的有效身份验证，并授予访问权限。

这使得攻击者的任务变得容易得多，这反过来又使这种系统不适合作为主要的访问控制。

然而，在高度安全的环境中，这种系统可以很容易地作为一种非阻碍的二线防御：

• 在设施或区域入口，你要进行传统的身份认证检查，
• 在该设施或区域内，您可以实施非阻塞检查，避免员工浪费时间，每次他们想打开门或穿过走廊时都要确认自己的身份，但允许检查是否有人绕过了主入口安全系统。

现在，按照您的评论，从更理论的角度来看，“如果”密码“足够强且足够独特(假设没有攻击者可以模仿，我知道这个假设是不切实际的)”，那么是的，整个标识+身份验证系统可以依赖于身份验证过程。

即使它脱离了生物识别领域，我甚至可以想到一个具体的应用程序: X.509证书。

虽然证书本身尊重标识(可分辨名称)和身份验证(证书所有者私钥)的二重性，但证书的安全性实际上依赖于一个事实，即构成验证链的每个秘密密钥都必须保持未知。因此，攻击者只要找到构成证书信任链的任何私钥，就足以破坏相应的基于证书的身份验证系统(然后他可以随意伪造新的“有效”证书，或者使用您的措辞模仿有效签名)。

这是因为认证链通常是短的，它们不计算数千个级别。虽然攻击者找到任何密钥就足够了，但有效密钥的范围仍然很窄，而可能的密钥范围很大，因此这种攻击是不切实际的(幸运的！)。换句话说，这允许我们假设攻击者不能模仿合法的证书。

理论上，您可以将其扩展到给定时间点的生物识别身份验证。这并不能解决特定于生物特征的问题，但只要攻击者无法找到或复制任何标识/身份验证令牌，无论是什么，您都可以在一个步骤中合并标识和身份验证。

Answer 2

下面是一些你需要考虑的事情：

1. 生物识别技术很容易被偷。我们还没有找到任何生物识别技术，只有一方和一方可以对其进行验证。无论你走到哪里，都会留下指纹，未来可能会研制出高清相机，为视网膜扫描收集足够的分辨率。
2. 生物特征是不可改变的。一旦泄漏，你不能改变你的视网膜，指纹，或脑电波模式。至少不容易。
3. 生物识别技术是变化无常的。你的指纹可能会被割伤，你可能会有白内障，所以你需要一个后备的访问方法。
4. 生物识别技术的安全性取决于读者的安全。除非你带着自己的可信赖的生物识别阅读器，否则你本质上是在信任一台机器，不管是谁把它放在一个相当公开的地方。

生物识别技术非常方便。在低安全的环境下，生物识别就足够了，但是真正的安全绝不会仅仅依靠生物识别。